Dé GDPR Checklist naar GDPR compliancy

Voldoe aan alle eisen en beveilig uw data door de tips op te volgen uit deze ultieme GDPR compliance checklist.

Vanaf 25 mei 2018 is de nieuwe Europese privacywet van kracht. De AVG (Algemene Verordening Gegevensbescherming) of GDPR (General Data Protection Regulation) is belangrijk voor elk bedrijf, organisatie of onderneming waar persoonsgegevens verwerkt worden. Het zijn een flink aantal regels waaraan gehouden moet worden, daarom is het van groot belang om dit goed op orde te hebben.

Geen idee of uw organisatie aan alle regels voldoet? Doe dan de AVG checklist.

De basis van de GDPR

Om goed te kunnen beginnen met de GDPR check is het belangrijk om te weten wat GDPR precies inhoudt. Hier leggen we uit wat GDPR precies is, hoe uw organisatie op de hoogte blijft van de inhoud hiervan, hoe de verwerking hiervan in kaart gebracht moet worden en wie er binnen de organisatie verantwoordelijk voor moet zijn.

Wat is de General Data Protection Regulation (GDPR)?

GDPR is de nieuwe regeling die sinds 25 mei 2018 van kracht is geworden in heel Europa. Deze regelgeving is van toepassing op álle bedrijven die iets verkopen aan personen in Europa, of om wat voor reden dan ook persoonlijke informatie van klanten opslaan. Door deze nieuwe regelgeving hebben burgers in Europa meer controle over hun eigen persoonsgegevens en door de wet zijn zij er ook van verzekerd dat hun informatie beter beschermd wordt.

Wees voldoende op de hoogte van de inhoud van de GDPR en AVG.

Volgens de GDPR richtlijn is de definitie van persoonsgegevens alle informatie die betrekking heeft op een persoon. Denk hierbij aan namen, foto’s, e-mailadressen, bankgegevens, social media-posts, locatiegegevens, medische informatie en IP-adressen. Bij deze regelgeving geldt ook dat er geen onderscheid gemaakt mag worden tussen persoonsgegevens van privépersonen, personen bij bedrijven en/of publieke personen.

Breng alle in- en externe datastromen binnen de organisatie duidelijk in kaart.

Dankzij de GDPR regeling is het voor organisaties van belang dat zij kunnen aantonen dat de organisatie zich aan de privacywetgeving houdt. Het is daarom belangrijk om alle in- en externe datastromen binnen de organisatie duidelijk in kaart te brengen. Zo zal niemand voor verrassingen komen te staan. Zowel binnen, als buiten de organisatie.

Breng in kaart hoe persoonsgegevens worden verwerkt en beoordeel of je een verwerkingen register moet aanleggen.

Om aan te kunnen tonen dat uw organisatie zich aan de regelgeving houdt, is het in veel gevallen verplicht om een register van verwerkingen bij te houden. Hierin moet staan welke persoonsgegevens je verwerkt, waarom u dit doet, wat de bron hiervan is, welke partijen hierbij betrokken zijn, of de gegevens buiten de EU terechtkomen en wat de bewaartermijn is.

Zijn er mensen binnen mijn organisatie verantwoordelijk voor de implementatie van de AVG?

De hoogste verantwoordelijke persoon binnen de organisatie is verantwoordelijk voor de naleving van de AVG. In sommige organisaties is een ‘data protection officer’ of ‘functionaris gegevensbescherming’ verplicht. Vooral wanneer u als organisatie op grote schaal te maken heeft met het verwerken van persoonsgegevens. Een ‘data protection officer’ of ‘functionaris gegevensbescherming’ is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG).

Zorg eventueel voor een wettelijke rechtvaardiging voor uw gegevensverwerking.

Controleer zelf of de verplichting van een functionaris gegevensbescherming ook voor uw organisatie geldt. Als dit het geval is, vergeet de functionaris gegevensbescherming dan niet aan te melden bij de Autoriteit Persoonsgegevens.

Geef duidelijke informatie over uw gegevensverwerking en juridische rechtvaardiging in uw privacy beleid.

Wees transparant naar uw klanten, maar zorg er ook voor dat alle medewerkers goed op de hoogte zijn wat betreft het bewaren van persoonsgegevens. In het privacy beleid kunt u alles duidelijk onder elkaar neerzetten, zodat dit voor de lezer gemakkelijk terug te vinden is.

Gegevensbeveiliging

Na deze punten gaan we door naar het onderdeel ‘gegevensbeveiliging’. Hierin geven we meer informatie over hoe de gegevens het beste beveiligd kunnen worden. Maar ook wat privacy by design en privacy by default technieken zijn en wat er moet gebeuren bij een datalek. Tot slot vertellen we meer over een privacy policy en het cookie beleid en wanneer een Data Protection Impact Assessment uitgevoerd moet worden.

Houd altijd rekening met gegevensbescherming, vanaf het moment dat u een product of service ontwikkelt tot elk moment waarop u gegevens verwerkt.

Het is belangrijk om ervoor te zorgen dat het voor uw personeel duidelijk is hoe er in uw organisatie wordt omgegaan met gegevensbescherming. Een goede manier om dit te waarborgen kan door ervoor te zorgen dat deze stap al tijdens het ontwikkelen van uw product of website in de organisatie geïmplementeerd wordt, zodat dit niet overgeslagen kan worden.

Implementeer privacy by design en privacy by default technieken.

Onder de GDPR wetgeving valt ook het feit dat er als organisatie niet meer gegevens verwerkt mogen worden dan nodig. Dit wordt ook wel dataminimalisatie genoemd. Daar spelen privacy by design en privacy by default ook een rol in. Bij privacy by design betekent het dat je al rekening houdt met gegevensbescherming bij de ontwikkeling van een nieuw product of dienst. Bij privacy by default betekent het dat de standaardinstellingen van een dienst of product privacy-vriendelijk moeten zijn. Dus door bepaalde instellingen, zoals het delen van data met derden, niet standaard op ‘aan’ te zetten.

Breng in kaart waar binnen uw organisatie toestemming wordt gevraagd voor de verwerking van persoonsgegevens en controleer of dit voldoet aan de eisen van de AVG.

Zo is het voor uw organisatie direct duidelijk of u dit op de juiste manier aanpakt. Als het niet duidelijk is waar binnen uw organisatie toestemming wordt gevraagd, is het van belang dit goed in kaart te brengen.

Versleutel, pseudonimiseer of anonimiseer persoonsgegevens waar mogelijk.

Volgens de AVG-wetgeving is het voor instellingen en bedrijven noodzakelijk om persoonsgegevens in documenten te anonimiseren. In uw documenten mogen geen gegevens zichtbaar of vindbaar zijn die naar een individu herleid kunnen worden. Wanneer deze documenten gepubliceerd worden, dienen de persoonsgegevens onleesbaar en onherkenbaar te zijn.

Bij toepassing van pseudonimisering is geen sprake van verwerking van persoonsgegevens als aan vier voorwaarden is voldaan:

  • Er wordt vakkundig gebruik gemaakt van pseudonimisering, waarbij de eerste van de twee uitgevoerde versleutelingen van gegevens plaatsvindt bij de aanbieder van de gegevens (in casu verzekeraars, Belastingdienst en UWV);
  • Er zijn technische en organisatorische maatregelen getroffen om herhaalbaarheid van de versleuteling te voorkomen;
  • De verwerkte gegevens zijn niet indirect identificerend;
  • Deze drie voorwaarden worden onderworpen aan periodiek te houden audits.

Daarnaast dient de pseudonimiseringsoplossing op heldere en volledige wijze te worden beschreven in een actief openbaar gemaakt document, zodat iedere betrokkene kan nagaan welke garanties de gekozen oplossing biedt.

Creëer een intern beveiligingsbeleid voor uw teamleden en vergroot het bewustzijn over gegevensbescherming.

Het interne beveiligingsbeleid moet duidelijk en te vinden zijn voor alle werknemers. Ook kan het gedeeld worden bij arbeidscontracten, zodat ook nieuwe werknemers direct hiervan op de hoogte zijn. Zorg er daarnaast voor dat er sterke wachtwoorden gebruikt worden en zorg dat iedereen in de organisatie zich hier bewust van is. Schakel bijvoorbeeld een twee staps verificatie (two-factor-authenticatie) in.

Bepaal of een Information Security Management System (ISMS) nodig is en welke maatregelen hierbij komen kijken.

ISMS staat voor Information Security Management System en is een managementsysteem voor informatiebeveiliging. Het ISMS bestaat voor een deel uit IT onderdelen, maar daarnaast komen gedrag van medewerkers, standaard procedures en bedrijfsrichtlijnen aan de orde. Met een ISMS kan de informatiebeveiliging van een organisatie naar eigen inzicht bestuurd worden. Een aantal activiteiten, zoals het uitvoeren van een interne audit of een risico analyse zijn verplicht. Door het inrichten van een ISMS en het uitvoeren van verplichte activiteiten kan aantoonbaar gemaakt worden dat voldoende aandacht wordt besteed aan informatiebeveiliging.

Het ISMS gaat uit van de zogenaamde PDCA cyclus (Plan, Do, Check, Act). Het gaat hierbij om dreigingen van buitenaf én om behoeften van binnenuit. Wat is bedrijfskritiek en is een risicoanalyse aanwezig (Plan), wat moet je verbeteren (Do), is een risicoanalyse aanwezig (Check) en hoe acteer je op eerdere stappen, verbeter je je proces (Act)? Continu anticiperen en verbeteren is het uitgangspunt om goed te kunnen acteren op steeds veranderende dreigingen.

De norm ISO27001 informatiebeveiliging is een welbekende standaard voor het opzetten en implementeren van het ISMS en beschrijft hoe informatiebeveiliging procesmatig kan worden ingericht. Verder stelt de norm specifieke eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ISMS. Onderdeel hiervan is het periodiek uitvoeren van een risicoanalyse & risicobeoordeling, waarmee specifieke organisatierisico’s rond informatiebeveiliging worden geborgd en weggenomen door passende beveiligingsmaatregelen. De norm kan worden ingezet binnen iedere organisatie. Voor de zorgsector wordt NEN 7510:2017 gehanteerd.

Stel een data beveiligingsbeleid op en blijf dit beleid toetsen en verbeteren.

Door dit beveiligingsbeleid te blijven verbeteren, is de kans een stuk kleiner dat uw organisatie te maken krijgt met datalekken.

Stel een protocol meldplicht datalekken op.

Mocht het toch gebeuren dat de beveiliging niet goed genoeg was en hier dus datalekken uit zijn gekomen, dan is het belangrijk om als bedrijf te weten wat er moet gebeuren. Een duidelijk protocol is in dit geval dus belangrijk. De meldplicht datalekken blijft tenslotte bestaan onder de AVG. Het is daarom verplicht om een register bij te houden van alle datalekken die plaatsvinden. Afhankelijk van de type gegevens, de hoeveelheid en de context van het lek bepaalt de verwerkingsverantwoordelijke of het lek gemeld moet worden bij de toezichthouder.

Stappenplan datalek

  1. Analyseer onmiddellijk de situatie. Zorg dat u weet wat er is gebeurd en wat de omvang van het lek is. Gaat het om een inbreuk door gelekte, vernietigde of gewijzigde gegevens? Indien gegevens zijn gelekt, onderzoek dan wie er (mogelijk) toegang hebben (gehad) tot welke persoonsgegevens. Deze informatie heeft u nodig voor de vervolgstappen.
  2. Bepaal op basis van stap 1 of er maatregelen zijn die u meteen kunt nemen om het datalek te beëindigen en de schade te beperken. En zo ja, neem deze maatregelen onmiddellijk. Bijvoorbeeld door een gestolen laptop op afstand te wissen. Maak tegelijkertijd een inschatting van het (mogelijke) risico dat het datalek oplevert.
  3. Bepaal of u het datalek verplicht moet melden bij de Autoriteit Persoonsgegevens (AP). Zo ja, zorg dat u dit binnen 72 uur nadat u het lek heeft ontdekt doet. U moet een datalek melden bij de AP tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor de rechten en vrijheden van de betrokken personen. Heeft u bij de eerste melding nog niet alle informatie over het datalek? Doe dan een eerste melding binnen 72 uur en doe later een vervolgmelding.
  4. Bepaal of u het datalek verplicht moet melden aan de betrokken personen. Zo ja, zorg dat u dit zo snel mogelijk doet. U moet een datalek melden aan de betrokken personen wanneer er sprake is van een hoog risico voor de rechten en vrijheden van de betrokken personen.
  5. Registreer het datalek in uw verplichte datalekregister. Ook wanneer u het datalek niet meldt aan de AP.

Weet wanneer u een gegevensbeschermingseffect beoordeling of een Data Protection Impact Assessment (DPIA) van de verwerking moet uitvoeren en beschik over een proces om dit uit te voeren.

Dit betreft een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen

De AVG geeft aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:

  • systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
  • op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt ;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

De Autoriteit Persoonsgegevens heeft daarnaast een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint. Het kan zijn dat uw verwerking niet op deze lijst staat. In dat geval moet u zelf beoordelen of uw verwerking een hoog privacyrisico oplevert voor de betrokkenen. Als het risico dan nog steeds hoog blijft, dan moet het voorgelegd worden aan de Autoriteit Persoonsgegevens. Zij moeten uiteindelijk beoordelen of je met de verwerking mag beginnen.

Zorg voor een proces om de autoriteiten en uw betrokkenen in kennis te stellen in geval van een datalek.

Wanneer er toch een datalek plaatsvindt is het van belang om te weten welke betrokkenen hierover geïnformeerd moeten worden. Zorg daarom dat uw organisatie ervan op de hoogte is wat het proces in deze situatie is.

Stel een privacy policy en cookie verklaring op.

Het is van belang om over zowel een interne, als een externe privacy policy te beschikken. Deze is namelijk nodig om betrokkenen te informeren over de verzamelde informatie en ze te wijzen op hun rechten. In de privacy policy moet in ieder geval de volgende informatie terugkomen:

  • Informatie over vertegenwoordiger van de verantwoordelijke;
  • Doel van de verwerking en de juridische grondslag;
  • Ontvangers (derden) van de gegevens;
  • Bewaartermijnen van de gegevens;
  • Informatie over de rechten van de betrokkenen (zoals in de AVG staat omschreven);
  • Informatie over procedures in het geval van een datalek.

Daarnaast is het belangrijk om een cookie verklaring op uw website te hebben staan. Hiervoor gelden dankzij de wetgeving een aantal strenge regels. Zo mag de cookie alleen worden geplaatst wanneer de gebruiker duidelijk over het plaatsen van een cookie is geïnformeerd. Ook moet de bezoeker expliciet toestemming geven voor het plaatsen van deze cookies. Pas daarna mag de cookie daadwerkelijk worden geplaatst. In een cookie verklaring is het van belang om de gebruiker te informeren wat er precies gebeurd na het plaatsen van deze cookie en welke persoonsgegevens er worden opgeslagen.

Cookies zijn noodzakelijk voor het functioneren van een website. Maar deze worden ook gebruikt bij het opstellen van profielen van de bezoekers. Zo’n profiel kan veel gedetailleerde informatie over de bezoeker bevatten. Deze worden weer gebruikt door bedrijven die hiermee veel gerichter kunnen adverteren.

Verantwoording en beheer

De volgende stap in deze checklist: verantwoording en beheer. Hier leggen we uit hoe belangrijk het is om een verantwoordelijke aan te stellen en of uw organisatie een functionaris gegevensbescherming nodig heeft.

Wijs iemand aan die verantwoordelijk is voor de naleving van de AVG in uw organisatie.

Het is verstandig om een team op te stellen met personen die verantwoordelijk zijn voor de naleving van de AVG binnen de organisatie, in de verschillende afdelingen. Het is aan te raden om iemand aan het team toe te voegen met juridische expertise op het gebied van privacy.

Onderteken een verwerkersovereenkomst tussen uw organisatie en eventuele derden die namens u persoonsgegevens verwerken.

Wanneer u met derden werkt die namens uw organisatie persoonsgegevens verwerken, moeten ook zij voldoen aan de AVG. Zorg voor verwerkersovereenkomsten die voldoen aan de eisen die de AVG hieraan stelt. Het is ook van belang om de huidige overeenkomsten hierop te controleren. Vergeet niet dat ook datadoorgifte en -opslag buiten de EU belangrijk zijn. Hiervoor zijn aanvullende afspraken voor nodig.

Als uw organisatie buiten de EU is gevestigd, benoemt u een vertegenwoordiger binnen een van de EU-lidstaten.

Bevindt uw organisatie zich buiten de EU, maar verwerkt u wel gegevens van burgers bínnen de EU, dan is het van belang om een vertegenwoordiger binnen één van de EU-lidstaten aan te stellen.

Bepaal of u een Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) nodig heeft.

Heeft uw organisatie een Functionaris Gegevensbescherming, ofwel een FG/DPO nodig? Allereerst is het belangrijk om te weten waar deze voor dient. De functionaris gegevensbescherming moet erop toezien hoe de persoonsgegevens verwerkt worden binnen de organisatie. Deze persoon is ook verantwoordelijk voor het informeren en adviseren van de medewerkers over hun verplichtingen vanuit de AVG. De functionaris gegevensbescherming zal ook dienen als contactpunt tussen de Autoriteit Persoonsgegevens en uw klanten.

De verplichting om een FG aan te stellen geldt voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht, personeelsvolgsystemen en monitoring van iemands gezondheid via wearables.

Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.

Privacy rechten

Tot slot is het van belang om op de hoogte te zijn van de privacy rechten.

Als u beslissingen neemt over mensen op basis van geautomatiseerde processen, hebt u een procedure om hun rechten te beschermen.

Veel bedrijven en organisaties maken gebruik van geautomatiseerde processen. Ook hierbij is het goed om de AVG regels in uw achterhoofd te houden. Profilering en geautomatiseerde besluitvorming kunnen nuttig zijn voor betrokkenen en organisaties. De organisaties zijn ten slotte beter in staat om hun markt én doelgroepen te segmenteren. Zo kunnen zij hun producten en diensten beter afstemmen op individuele behoeften. Uiteindelijk hebben individuen hier weer baat bij.

Toch zijn profilering en automatische besluitvorming niet alleen maar positief. Het kan namelijk ook risico’s meebrengen voor uw organisatie. Veel mensen weten vaak niet dat zij geprofileerd worden. Als ze dit al weten, zijn zij vaak niet op de hoogte hoe zoiets werkt. Het kan ook zijn dat de data van een persoon niet volledig of onjuist is, waardoor er onjuiste voorspellingen gedaan worden.

Daarom is het belangrijk om een procedure te hebben waarbij de rechten van uw klanten beschermd worden.

Zorg dat u voorbereid bent op verzoeken betreft de nieuwe privacy rechten.

Dankzij de GDPR hebben personen het recht om zelf controle te houden over hun persoonsgegevens. Dat zorgt er ook voor dat uw klanten deze gegevens zelf op kunnen vragen. Het is voor een organisatie daarom belangrijk om rekening te houden met de wensen van de klant. Dat zorgt namelijk voor een groter vertrouwen van mensen in uw organisatie.

Waar hebben de klanten precies recht op?

  • De klant heeft recht op inzage. Hierbij hebben de klanten het recht om een kopie te ontvangen van de persoonsgegevens die uw organisatie van hen verwerkt heeft;
  • De klant heeft recht op vergetelheid. Dat betekent dat mensen het recht hebben om ‘vergeten’ te worden. Toch is het als organisatie niet altijd mogelijk om alle persoonsgegevens te wissen. Zoek daarom uit in hoeverre een klant in uw organisatie vergeten kan worden;
  • De klant heeft recht op rectificatie en aanvulling. Dit betekent dat zij recht hebben om de persoonsgegevens die u van hen heeft bewaard, te laten wijzigen;
  • De klant heeft recht op dataportabiliteit. De klant heeft hierbij het recht om persoonsgegevens over te dragen aan een andere partij;
  • De klant heeft het recht op beperking van de verwerking, ofwel het recht om minder gegevens te laten verwerken;
  • De klant heeft het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Daarbij geldt dat de klant het recht heeft op een menselijke blik bij belangrijke besluiten;
  • De klant heeft het recht om bezwaar te maken tegen de gegevensverwerking;
  • Tot slot: de klant heeft het recht om duidelijke informatie over wat u met hun persoonsgegevens doet.

Komt u er niet helemaal uit of wilt u extra hulp voor een bepaald onderdeel? Wij helpen u graag verder! Neem contact met ons op via 085 071 1080 en maak een afspraak.

Zorg ervoor dat uw organisatie volledig GDPR-proof is.

avg_audit1
Privacy consultant DPO consultancy